Centos7 环境下生成自签名 SSL 证书的具体过程:

1.修改 openssl 配置文件

2.在服务器 pki 的 CA 目录下新建两个文件

cd /etc/pki/CA && touch index.txt serial && echo 01 > serial

3.生成 CA 根证书密钥

cd /etc/pki/CA/ && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem

4.生成根证书（根据提示输入信息，除了 Country Name 选项需要记住的，后面的随便填）

openssl req -new -x509 -key private/cakey.pem -out cacert.pem

5.生成密钥文件

openssl genrsa -out nginx.key 2048

6.生成证书请求文件（CSR）:

A. 根据提示输入信息，除了 Country Name 与前面根证书一致外，其他随便填写
B. Common Name 填写要保护的域名，比如：*.qhh.me

openssl req -new -key nginx.key -out nginx.csr

7.使用 openssl 签署 CSR 请求，生成证书

至此自签名证书生成完成，最终需要：nginx.key 和 nginx.crt

1.openssl中有如下后缀名的文件

(1). key格式：私有的密钥；

(2).csr格式：证书签名请求（证书请求文件），含有公钥信息；

(3).crt格式：证书文件，certificate的缩写；

(4).crl格式：证书吊销列表，Certificate Revocation List的缩写；

(5).pem格式：用于导出、导入证书时候的证书的格式，有证书开头、结尾的格式；

2.什么是x509证书链

(1).x509证书一般会用到三类文件，key，csr，crt；

(2).Key是私用密钥，openssl格式，通常是rsa算法；

(3).csr是证书请求文件，用于申请证书。在制作csr文件的时候，必须使用自己的私钥来签署申请，还可以设定一个密钥；

(4).crt是CA认证后的证书文件（windows下面的csr，其实是crt），签署人用自己的key给你签署的凭证。

3.概念

首先要有一个CA根证书，然后用CA根证书来签发用户证书。

用户进行证书申请：一般先生成一个私钥，然后用私钥生成证书请求(证书请求里应含有公钥信息)，再利用证书服务器的CA根证书来签发证书。

特别说明:

（1）自签名证书(一般用于顶级证书、根证书): 证书的名称和认证机构的名称相同.

（2）根证书：根证书是CA认证中心给自己颁发的证书,是信任链的起始点。任何安装CA根证书的服务器都意味着对这个CA认证中心是信任的。

4.生成自签名的证书

(1).req是证书请求的子命令

(2).-newkey rsa:2048 -keyout private_key.pem 表示生成私钥(PKCS8格式)

(3).-nodes 表示私钥不加密，若不带参数将提示输入密码

(4).-x509表示输出证书

(5).-days365 为有效期，此后根据提示输入证书拥有者信息；

#openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

5.使用 已有RSA 私钥生成自签名证书

#openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指生成证书请求；

-x509 表示直接输出证书；

-key 指定私钥文件，其余选项与上述命令相同；

6.使用 RSA私钥生成 CSR 签名请求

$openssl genrsa -aes256 -passout pass:111111 -out server.key 2048

$openssl req -new -key server.key -out server.csr

7.Openssl 生成自签名证书的三种方式：

第一种：通过openssl生成私钥

#openssl genrsa -out server.key 1024

使用私钥生成自签名的cert证书文件，以下是通过参数只定证书需要的信息

#openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN“

第二种：通过openssl生成私钥

#openssl genrsa -out server.key 1024

根据私钥生成证书申请文件csr

#openssl req -new -key server.key -out server.csr

使用私钥对证书申请进行签名从而生成证书

#openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

第三种：直接生成证书文件

#openssl req -new -x509 -keyout server.key -out server.crt -config openssl.cnf

备注：以上生成得到的server.crt证书，格式都是pem的